adrian_ilie825 - Fotolia
SASE: Die Sicherheitsarchitektur transformiert Netzwerke
Immer mehr Firmen nutzen die Cloud. Damit verschwinden aber die früheren, gut abgesicherten festen Netzwerkgrenzen. SASE ist die Antwort darauf, meint Laurence Pitt von Juniper.
Die COVID-19-Pandemie, die daraus resultierende Arbeit im Home-Office sowie technologische Weiterentwicklungen wie 5G beschleunigen die digitale Transformation. Sie treiben sowohl Veränderungen in Geschäftsmodellen der Unternehmen voran als auch die Gestaltung von Unternehmensnetzwerken.
Der Schlüssel für diesen Wandel ist: die Cloud. Immer mehr Organisationen entscheiden sich für die Cloud, da sie Agilität fördert und Betriebsthemen vereinfacht. Sie überzeugt mit ihrer Wirtschaftlichkeit und einem guten Zugang für vereinfachte Wartung. Eine Cloud-Architektur hilft dabei, die Geschäftskontinuität und den Zugriff auf Services aufrechtzuerhalten – und zwar unabhängig davon, wo sich die Mitarbeiter oder Kunden eines Unternehmens befinden.
Je mehr Daten und Services sich in der Cloud befinden, desto wichtiger und notwendiger ist eine cloud-basierte IT-Sicherheit. Entgegen der landläufigen Meinung ist der Perimeter als Übergang von Unternehmensnetzwerken zu öffentlichen Netzwerken nicht verschwunden. Allerdings ist er elastisch und passt sich Geschäftsanforderungen an – es gibt keine starren Grenzen mehr. Unternehmen müssen den Schutz und die Integrität ihrer Anwendungen und ihrer Daten in der Cloud wie auch in den eigenen Rechenzentren, bis hin zu den Endgeräten, gewährleisten. Dazu gehören zunehmend auch remote und mobil arbeitende Mitarbeiter, die auf der gesamten Welt verteilt sind. Hier setzt SASE an.
Was ist SASE?
SASE steht für Secure Access Service Edge, ein von Gartner im Jahr 2019 geprägter Begriff, der eine moderne Cybersicherheitsarchitektur beschreibt. SASE umfasst die Konvergenz von Netzwerk und Sicherheit.
Traditionell ist die Netzwerksicherheit am Rand des Netzwerks (am Perimeter) innerhalb des Unternehmens und im Rechenzentrum angesiedelt. Um Datenverkehr zu prüfen und Richtlinien zu unterziehen, musste bisher der gesamte Datenverkehr durch die Rechenzentren geleitet werden. Dieser Prozess war zwar sehr sicher, aber auch ressourcenintensiv. Er wirkte sich negativ auf das Budget und die Benutzererfahrung aus, insbesondere mit dem stetig wachsenden Bedarf nach zusätzlichen Kapazitäten.
Hier setzt eine SASE-Architektur an, welche die meisten dieser Funktionen in die Cloud verlagert, dorthin, wo sich viele Anwendungen bereits befinden. Die Distanz zwischen Anwender und Applikation wird verkürzt. Eine solche Architektur prüft den Datenverkehr in der geografischen Nähe des Benutzers und macht Dienste lokal zugänglich. Bei Bedarf stellt SASE auch elastisch zusätzliche Ressourcen bereit. Eine SASE-Architektur schützt vor Angriffen – und zwar unabhängig davon, wo sich die Benutzer befinden. Das Ergebnis ist eine konsistente und transparente Durchsetzung von Sicherheitsrichtlinien. Der Datenverkehr selbst muss dann nicht an oder über einen Unternehmensstandort geleitet werden.
„Je mehr Daten und Services sich in der Cloud befinden, desto wichtiger und notwendiger ist eine cloud-basierte IT-Sicherheit.“
Laurence Pitt, Juniper Networks
Dank der operativen Agilität, der Benutzerfreundlichkeit sowie der verbesserten Sicherheit bedeutet SASE ein Paradigmenwechsel für Netzwerke. Obwohl viele Unternehmen ihre Daten und Anwendungen künftig in die Cloud migrieren wollen, wird auch weiterhin eigene Hardware eingesetzt. Ein gutes Netzwerkdesign arbeitet damit sowohl mit Cloud- als auch mit On-Premises-Infrastrukturen. Gleichzeitig unterstützt das Design einen Übergang von Services zwischen den Infrastrukturen sowie die laufenden Anforderungen des Unternehmens. Aus diesem Grund begannen sowohl Organisationen als auch Cloud- und Service-Provider in den letzten Jahren, von monolithischen, zentralisierten Rechenzentrumsarchitekturen auf dezentrale SASE-Architekturen umzusteigen, und bringen damit ihre Services näher an die Anwender auf der ganzen Welt.
Was IT-Führungskräfte beachten sollten
Es ist wichtig zu verstehen, dass die Einführung einer SASE-Architektur ein größeres Unterfangen darstellt. Unternehmen sollten daher zunächst den gegenwärtigen Zustand ihres Netzwerks bewerten und definieren, was für sie künftig wichtig ist. Die folgenden Überlegungen können Organisationen dabei unterstützen:
- Wo sind die Daten derzeit abgelegt? Unternehmensdaten sind wahrscheinlich an mehreren Orten gespeichert. Als ersten Schritt sollten Unternehmen eine Bestandsaufnahme machen und die Daten ganzheitlich betrachten.
- Wie werden die Daten während der Übertragung und in Datenspeichern geschützt? Unternehmen müssen überlegen, welche Richtlinien und Prozesse für die Datenverarbeitung derzeit gelten. Sind diese in der gesamten Umgebung konsistent angewendet oder nur an den Übergängen? Sind die Daten verschlüsselt? Wer oder was hat Zugriff darauf, und wie sind die Daten segmentiert?
- Sind Sichtbarkeit und Richtlinienkontrolle zentralisiert? Die Sichtbarkeit reicht selten bis in alle Ecken des Netzwerks. Gibt es eine klare Sichtlinie darauf, wer und was sich im Netzwerk befindet? Wie, wann und wo werden Verbindungen hergestellt, und wohin? Wie wird der Zugriff autorisiert?
- Welche aktuellen Projekte gibt es momentan in der Organisation? Organisationen sollten aktuelle Projekte des IT-Teams identifizieren und festlegen, ob Cloud-gehostete Dienste in den nächsten zwei bis vier Jahren Teil dieser Projekte sein werden. Welche Überlegungen zur bestehenden Architektur müssen außerdem bei der Vorbereitung berücksichtigt werden?
- Wie werden die Daten im Rechenzentrum und über mehrere Public Clouds hinweg segmentiert? Die sensibelsten Daten befinden sich im Rechenzentrum. Es ist aber wichtig, die gesamte Umgebung im Blick zu haben, nicht nur an den Netzwerkübergängen, um den Schutz der Daten zu gewährleisten.
- Wie sieht der Datenfluss aus? Unternehmen sollten sich anschauen, wie die Daten derzeit bei der On-Premises-Bereitstellung des Unternehmens fließen. Läuft dies reibungslos und konform oder sollten Änderungen vorgenommen werden? Es ist wichtig, einen detaillierten Plan zu haben. Dieser sollte festlegen, wie die Daten bewegt werden sollen, um ihre Integrität über verschiedene Umgebungen hinweg sicherzustellen.
Abschließende Überlegungen
Organisationen haben unterschiedliche Anforderungen an ihre Infrastruktur. Während manche Unternehmen branchenspezifische, benutzerdefinierte Anwendungen einsetzen, profitieren andere von Standardanwendungen. Einige Firmen haben nur einen einzigen Standort, während andere verteilte Standorte in mehreren Regionen besitzen – und jeder setzt Anwendungen unterschiedlicher Service-Provider ein. Die Flexibilität einer SASE-Architektur passt sich diesen verschiedenen Szenarien an. Gleichzeitig schöpft sie den Wert eines Cloud-gesteuerten Netzwerks aus. Unternehmen werden so von den Einschränkungen befreit, die statische Umgebungen mit sich bringen.
Natürlich ist SASE kein Allheilmittel für die kontinuierlichen Herausforderungen, die beim Aufbau eines sicheren und widerstandsfähigen Netzwerks entstehen. Und eine umfangreiche Netzwerktransformation erfordert Zeit. SASE bringt große Veränderung in den Aufbau von Netzwerken und den Security-Stack. Unternehmen benötigen eine flexible und anpassungsfähige Architektur, um Geschäftsmodelle sowohl heute als auch künftig zu unterstützen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.